ProLock Ransomware s'associe à Qakbot pour attaquer les réseaux d'entreprise

ProLock Partners With Qakbot

ProLock est un nom relativement nouveau sur la scène des ransomwares, et à la lumière de cela, il n'est pas surprenant que les personnes derrière lui soient plus intéressées par les entreprises que par les utilisateurs individuels. Il y a quelque temps, l'accent a été détourné de Joe Average et a été placé carrément sur les entreprises, les institutions financières, le gouvernement et même les organismes de santé, et pour le moment, au moins, il ne semble pas y avoir de retour en arrière. Cependant, les différentes cibles présentent des défis différents, et l'un des principaux est le vecteur d'infection initial.

Dans le passé, la chaîne d'infection des ransomwares était assez simple. Un grand botnet déclencherait un grand nombre de spams. Des documents Word macros lacés leur seraient attachés, que les utilisateurs ouvriraient grâce à quelques astuces d'ingénierie sociale. Les fichiers malveillants installeraient silencieusement le rançongiciel et l'opération d'extorsion commencerait. Pour les utilisateurs individuels, cela fonctionne très bien, mais dans un environnement d'entreprise, les employés sont probablement mieux formés et les filtres anti-spam sont susceptibles d'être plus stricts, ce qui pourrait contrecarrer de telles attaques.

En conséquence, les opérateurs de ransomware sont obligés de chercher d'autres moyens de compromettre les réseaux de leurs cibles. Les personnes qui exécutent le rançongiciel ProLock ont apparemment trouvé la réponse dans une autre famille de logiciels malveillants appelée Qakbot.

ProLock utilise Qakbot comme compte-gouttes

Hier, ZDNet a partagé une alerte flash du FBI au début du mois selon laquelle ProLock compromet certains des réseaux de ses victimes avec l'aide de Qakbot. La semaine dernière, des chercheurs du Groupe IB ont confirmé qu'eux aussi avaient vu Qakbot installer ProLock sur des systèmes piratés. Cela pourrait signifier que les personnes qui ont développé Qakbot sont également responsables de ProLock, mais la vérité est que le partenariat pourrait également être le résultat d'un accord entre deux gangs cybercriminels indépendants.

Une chose est sûre: l'utilisation de Qakbot comme compte-gouttes a définitivement ses avantages. Alors que ProLock essaie toujours de se faire un nom, Qakbot a déjà infecté beaucoup d'ordinateurs dans le monde entier, ce qui signifie que les opérateurs de ransomware peuvent être épargnés de la corvée de créer des campagnes de phishing convaincantes ou de rechercher des configurations RDP vulnérables. En plus de cela, Qakbot possède des mécanismes intelligents d'évasion de détection, et cela pourrait également aider avec une partie très importante du fonctionnement de ProLock.

Comme vous l'avez peut-être déjà entendu, de nombreuses équipes de ransomwares volent désormais des données en plus de les chiffrer. De cette façon, même si la cible refuse de payer pour un décrypteur, les escrocs peuvent toujours menacer de divulguer les informations sensibles à moins qu'une rançon ne soit versée. ProLock possède ses propres mécanismes d'exfiltration de données, mais grâce aux capacités de journalisation des clés et de vol de mots de passe de Qakbot, la quantité d'informations volées pourrait être beaucoup plus importante. Les spécialistes n'ont pas précisé si le partenariat s'étend au-delà de l'installation initiale, mais Qakbot pourrait tout aussi bien aider ProLock à se déplacer latéralement au sein du réseau compromis.

Dans l'ensemble, ProLock s'est associé à un logiciel malveillant très avancé. Ce qui, en passant, est plus que ce que l'on peut dire sur ProLock lui-même.

Le ransomware ProLock a connu une naissance difficile

La première incarnation de ProLock s'appelait en fait PwndLocker. Il est apparu fin 2019 et a immédiatement commencé à faire des ravages. Après avoir fait la une des journaux, PwndLocker a attiré l'attention des chercheurs d'Emsisoft, qui ont rapidement trouvé une erreur dans le mécanisme de cryptage du ransomware. Début mars, les experts en sécurité ont publié un décrypteur gratuit pour les victimes de PwndLocker.

Les escrocs sont revenus à leur code, ont corrigé l'erreur et ont donné à leur ransomware un nouveau nom - ProLock. Les chercheurs doivent encore trouver un moyen de battre le mécanisme de cryptage réparé, mais malheureusement, le gang ProLock semble également avoir du mal à restaurer les données des entreprises qui ont payé la rançon.

Lorsque les entreprises cèdent aux tentatives d'extorsion et transfèrent les bitcoins, elles reçoivent un programme de décryptage des escrocs, qui devrait théoriquement restaurer tous les fichiers à leur état d'origine. En réalité, cependant, les rapports suggèrent que le décrypteur de ProLock endommage certains des fichiers les plus volumineux.

En plus de subir les pertes financières (qui dépendent de la cible mais ne sont jamais insignifiantes), les victimes de ProLock perdent également leurs données, ce qui souligne une fois de plus les risques liés à la négociation avec des escrocs. Assurez-vous que votre organisation sauvegarde régulièrement ses fichiers et n'alimentez pas l'activité des cybercriminels en répondant aux exigences des opérateurs de ransomware.

May 19, 2020

Laisser une Réponse